CTF-i春秋網(wǎng)鼎杯第一場(chǎng)misc部分writeup

?

　　最近因?yàn)楣ぷ髟驁?bào)名了網(wǎng)鼎杯，被虐了幾天后方知自己還是太年輕！分享一下自己的解題經(jīng)驗(yàn)吧

?

? ?minified

題目:

一張花屏，png的圖片，老方法，先看屬性

什么也沒。

再扔到winhexv里看看

頭文件正常，確實(shí)是png，嘗試搜索flag關(guān)鍵字也沒有收獲。

繼續(xù)扔到kali里用binwalk分析一下

也沒有發(fā)現(xiàn)異常的

會(huì)不會(huì)是高度隱寫呢，直接在kali雙擊打開png圖片，發(fā)現(xiàn)可以正常打開(注:被修改過高度的圖片無法在kali中直接打開，會(huì)顯示無法載入圖像)

那繼續(xù)分析IDAT塊，IDAT是png圖片中儲(chǔ)存圖像像數(shù)數(shù)據(jù)的塊，不清楚的可以去補(bǔ)充一下關(guān)于png圖片格式知識(shí)

我們使用pngcheck分析圖片的IDAT塊

好吧也沒有異常

最后拿到Stegsolve跑一下吧

點(diǎn)擊向右箭頭發(fā)現(xiàn)Red plane 0居然是空的，本應(yīng)該是和花屏一樣的圖片居然全黑，肯定有問題，而且其他的0通道都是有內(nèi)容的

點(diǎn)擊Analyse - Data Extract，查看圖片通道

?

?選擇 0通道發(fā)現(xiàn)playload是LSB 隱寫

分別把 alpha，green 和 blue 的 0 通道另存為再進(jìn)行異或處理

在alpha和green的對(duì)比中發(fā)現(xiàn)flag如下圖所示；?

?

?clip

打開題目發(fā)現(xiàn)是.disk文件，這個(gè)應(yīng)該是linux磁盤文件

但是題目提示說詞頻是損壞的，那肯定不去kali試了，那分析一下文件吧

用winhexv打開

好吧，不認(rèn)識(shí)這是什么，繼續(xù)向下找，發(fā)現(xiàn)了和上面不一樣的Hex數(shù)據(jù)!里面可能有東西

?在 winhex 中的第 196280 行發(fā)現(xiàn)了 png 的文件頭(注:png 16 進(jìn)制文件頭以 89504E47 開頭)

還有一個(gè)IHDR 的 png 圖片

剪切出來加png頭

得到兩張圖片

圖片1:

圖片2:

對(duì)兩張圖片進(jìn)行ps拼接，得到flag

?原創(chuàng)文章，轉(zhuǎn)載請(qǐng)標(biāo)明出處 ：https://www.cnblogs.com/pureqh

轉(zhuǎn)載于:https://www.cnblogs.com/pureqh/p/9523185.html

總結(jié)

以上是生活随笔為你收集整理的CTF-i春秋网鼎杯第一场misc部分writeup的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。